A https://icsmap.shodan.io/ oldalon az internetre csatlakozó ipari vezérlőeszközök (ICS/SCADA) listáját tették közzé.

A nyilvánosságra hozott több mint hetvenezer eszközből körülbelül négyszáz (0,6 %) magyar vonatkozású.

Hacker-ek képesek voltak átvenni az irányítást az ausztráliai Google iroda azon számítógépei felett, amelyekkel szabályozni lehetett a fűtést, a légkondicionálást és a szellőzést, mivel az ezeket szabályozó rendszerekben távolról kihasználható sérülékenységek voltak. A Sydneyben található irodák környezeti beállításait a Tridium eszközei végezték. Ezek a rendszerek felelősek az épületben mérhető hőmérsékletért, a termosztátok vezérléséért, stb. Azonban ezek az eszközök elérhetőek az Internet felől is, ráadásul úgy, hogy nincs szükség semmilyen hitelesítésre, így a támadóknak lehetőség van arra, hogy jogosultság nélkül leállítsák azok működését.

A máltai székhelyű ReVuln egy olyan startup vállalkozás, amely sérülékenységek kutatására specializálódott. Jelenleg egy olyan terméken dolgoznak, amely lehetővé teszi a cégek számára, hogy megvédhessék a SCADA (supervisory control and data acquisition) szoftvereket a sérülékenységek széles skálájával szemben. Eközben pedig a vállalat custom javításokat fejleszt és ad el, amelyek segítenek befoltozni a SCADA rendszerek sérülékenységeit addig is, amíg a gyártó nem ad ki hivatalos javítást. A biztonsági szakértők már évek óta hangoztatják azt a véleményüket, amely szerint a SCADA szoftverek tele vannak komoly sérülékenységekkel, és gyakran a legalapvetőbb biztonsági ellenőrzések is hiányoznak belőlük. És a veszélyt tovább növeli, hogy számos ipari rendszer tulajdonosa kényelmi szempontok és a távoli adminisztráció miatt az Interneten keresztül elérhetővé teszi a SCADA rendszereket.

Az Egyesült Államok Belbiztonsági Minisztériuma (Department of Homeland Security - DHS) által kiadott jelentés szerint az ipari vezérlő rendszereket - amelyek felügyelik és irányítják a kritikus infrastruktúrákat a különböző üzemekben - 198 dokumentált kibertámadás érte 2012-ben, amelyek közül számos nagyon komoly volt. A támadások 40%-a energiaipari cégeket ért, 15%-a pedig a vízműveket vette célba. Néhány incidens a biztonsági kutatók által használt Sentient Hyper-Optimized Data Access Network (SHODAN) rendszer miatt érte a célpontokat - amely az Internetre kapcsolt SCADA eszközöket tartalmazó, rendszeresen frissített adatbázis - de a nagy része tényleges betörés és adatlopás volt.

A spear phishing jelen van napjaink minden célzott támadásában - még a a SCADA/ipari vezérlési rendszerek (industrial control systems - ICS) világában is. Egy nemrégiben két közüzemi szolgáltatónál együttesen elvégzett kísérlet bebizonyította, hogy milyen hatásos tud lenni ez a támadási forma: az alkalmazottak 26%-a rákattintott a hamis email-ben érkezett hivatkozásra. A Critical Intelligence és a PhishMe biztonsági cégek munkatársai által elvégzett kísérlet ezenkívül rávilágított arra is, hogy milyen könnyen össze lehet szedni azokat az információkat, amelyek segítségével könnyen célba lehet venni az ICS szervezetekben dolgozó kulcsszereplőket, ide értve azokat, akiknek hozzáférésük van a folyamat ellenőrzési és irányítási rendszerekhez.

Egy orosz SCADA biztonsággal foglalkozó blog olyan brute force eszközt hozott nyilvánosságra, amellyel sikeresen  kinyerhető a Siemens S7 PLC-kben tárolt jelszó, amely az eszköz feltöréséhez vezet. A bejelentés szerint Alexander Timorin és Dmitry Sklyarov biztonsági szakértők által készített offline eszköz a TCP/IP forgalom challenge-response adataiból nyeri ki a lényeges információt.

A Google kiadott egy jelentést (Google Zeitgeist 2012), amelyben országokra lebontva bemutatják, hogy mire is voltak leginkább kíváncsiak az emberek 2012-ben. Érdekes azt látni, hogy amíg az Egyesült Államokban Whitney Houston, addig Németországban a foci EB-re, Ausztráliában pedig Gangnam Style-ra volt a legtöbb keresés. Egy gyors áttekintés szerint csak Kanadában és Ausztráliában került be a leggyakoribb kereső kifejezések közé a sör. Úgy gondoltam, hogy érdemes lenne egy saját összeállítást készíteni a SCADA biztonsági témákról, és ehhez a saját blogom statisztikáit használtam (bár ez nyilván nem ad teljes áttekintést az év eseményeiről).

A CNET weboldalán bemutatásra került egy titkos NSA (National Security Agency) program, amelyet a Perfect Citizen névre kereszteltek, és aminek a feladata, hogy feltárja azokat a biztonsági réseket, amelyek az olyan nagy méretű vezérlő rendszereket veszélyeztetik, mint például az energiahálózat vagy a gázvezetékek. A programot az EPIC-től (Electronic Privacy Information Center) származó dokumentáció alapján hozták nyilvánosságra, amelynek célja, hogy megtalálja az Egyesült Államok kritikus infrastruktúrájában lévő, kibertámadásra lehetőséget adó biztonsági hibákat.

Miközben máshol hálaadásnapi pulykát sütöttek, egy kutató több mint húsz sérülékenységet fedezett fel olyan szoftverekben, amelyekkel erőművekben, repülőtereken és gyárakban a kritikus infrastruktúrát irányítják. Aaron Portnoy az Exodus Intelligence biztonsági cég társalapítója és alelnöke által felfedezett sérülékenységeket korábban ismeretlen hibák okozzák. Portnoy megkereste az Egyesült Államok Belbiztonsági Minisztériumának keretén belül működő ICS-CERT-et, akik rendszeresen együttműködnek a gyártókkal és a kutatókkal az ipari vezérlési rendszerek (industrial control systems - ICS) szoftvereihez készülő javítások koordinálásában. Az ICS rendszerekben lévő sérülékenységek régóta ismert problémát jelentenek, mivel számos technológiát még azelőtt fejlesztettek ki, hogy az eszközöket az Internetre kötötték volna.

A Siemens által készített és a Stuxnet által célba vett szoftver továbbra is tele van komoly biztonsági veszélyeket jelentő lyukakkal, mondta egy orosz biztonsági szakember a Defcon előadásán. A moszkvai székhelyű Positive Technologies vezetője Szergej Gordeychik a júliusi Defcon-on előadott prezentációját a Siemens kérésére,  a hibajavítások elkészítéséig nem hozták nyilvánosságra. A WinCC egy SCADA (Supervisory Control And Data Acquisition) rendszer, amely feladata a számos különböző ipari folyamat kezelése a gyárakban és erőművekben.